0
0
O grupo de hackers Cranefly, também conhecido como UNC3524, está usando uma técnica inédita de controle de malware em dispositivos infectados por meio de logs do servidor web Internet Information Services (IIS) da Microsoft.
O IIS é um servidor web que permite hospedar sites e aplicativos web. Ele também é usado por outros softwares, como Outlook na web (OWA) disponível para o Exchange utilizado para hospedar aplicativos de gerenciamento e interfaces da web.
Como qualquer servidor web, quando um usuário remoto acessa uma página da web, o IIS registra a solicitação nos arquivos de log que contêm o carimbo de data e hora, os endereços IP de origem, a URL solicitada, os códigos de status HTTP e muito mais. Esses logs normalmente são usados para solucionar problemas e análises, mas um novo relatório da Symantec mostra que um grupo de hackers está utilizando a nova técnica de usar logs do IIS para enviar comandos para malware de backdoor instalado no dispositivo.
O malware geralmente recebe comandos por meio de conexões de rede para servidores de comando e controle (C&C). No entanto, muitas organizações monitoram o tráfego de rede para localizar comunicações maliciosas.
Por outro lado, os logs do servidor web são usados para armazenar solicitações de qualquer visitante em todo o mundo e raramente são monitorados por softwares de segurança, tornando-os um local interessante para armazenar comandos maliciosos, reduzindo as chances de serem detectados.
Pesquisadores da Symantec que descobriram essa nova tática dizem que é a primeira vez que a observam na natureza.
Para um grupo de ciberespiões habilidosos como Cranefly, previamente detectado pela Mandiant, que passa 18 meses em redes comprometidas, evitar a detecção é um fator crucial em suas campanhas maliciosas.
A Symantec descobriu também um novo dropper usado pelo Cranefly, chamado “Trojan.Geppei”, que instala o “Trojan.Danfuan”, um malware até então desconhecido. O Geppei lê comandos diretamente dos logs do IIS, procurando por strings específicas (Wrde, Exco, Cllo) que são então analisadas para extrair comandos e cargas úteis.
Dependendo da string encontrada no log do IIS, o malware instalará malware adicional (string ‘Wrde’), executará um comando (string ‘Exco’) ou descartará uma ferramenta que desabilita o log do IIS (string ‘Cllo’). O Cranefly usa essa técnica furtiva para manter uma posição nos servidores comprometidos e coletar informações silenciosamente.
Essa tática também ajuda a evitar o rastreamento por policiais e pesquisadores, pois os invasores podem fornecer comandos por vários meios, como servidores proxy, VPNs, Tor ou IDEs de programação online.
FONTE: CISO ADVISOR